Spam악성코드(666.jpg) 분석

자료 : 한국정보보호진흥원(KISA)

 개 요
최근 (2006.6월 현재) 발신자와 수신자가 동일하며, 제목 및 내용에 짧은 길이
의 숫자가 표시되어 있는 비정한적인 메일이 다수 보고되었는데, 이러한 메일
의 발송 원인으로 추정되는 악성코드가 발견되어 기능 및 행위를 살펴보았다.
이 악성코드에 감염되면 특정 사이트에 접속하여 공격대상 메일주소 리스트를
다운로드 받은 후, 해당 주소로 제목과 내용을 “557”, “969” 등으로 표시하여
메일을 발송한다. 일반 메일 웜들이 자기 전파를 위하여 자신의 복제 본을 파
일로 첨부하는 것과는 다르게, 이 악성코드는 자신을 첨부하지 않는다. 현재
의 버전은 메일 제목 및 내용이 의미 없는 숫자이나, 향후에 기능이 업그레이
드될 경우, 광고성 내용을 발송하는 도구로 이용될 가능성이 있다.
□ 공격 유형
o 전파 방법
이 악성코드는 자기 복제 기능이 관찰되지 않았다. 따라서, 다른 Dropper 유형
의 웜에 의하여 사용자 PC에 설치되는 것으로 보인다. Dropper 유형의 악성
코드가 감염 된 후, 해당 감염 코드가 특정 사이트에 접속하여, 이 악성코드를
설치하는 유형으로 추정해 볼 수 있다. 실제 분석을 진행한 스팸 악성코드인
666.jpg 파일은 특정 사이트의 숙주형태로 발견되었으므로 이러한 감염유형일
가능성이 매우 높다
<전파 유형 예>
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
o 스팸 공격 유형
스팸 악성코드 (666.jpg)는 PC 내부의 파일들을 검색하여 메일주소를 추출하
고, 특정사이트에 해당주소를 전송한다. 또한 공격자가 구성해 놓은 웹 서버
에 접속하여 공격대상 메일주소 리스트를 다운받은 후, 해당주소로 메일을 발
송한다. (제목과 내용을 “557”, “969”등으로 표시). 파일 첨부는 하지 않는 것
으로 관찰되었다.
□ 감염 증상
▶ 감염 후 주요 증상
- google.com에 대한 DNS TCP 쿼리 발생.
- 특정사이트에 접속하여, 공격대상 메일리스트를 다운로드
- 다운로드한 메일리스트에 저장되어 있는 메일주소로, 제목과 내용에
“557”, “969”등의 숫자가 표시되고 발신자와 수신자가 동일한 비정상적
인 메일을 발송함
- PC에 저장되어 있는 메일주소를 추출 및 특정 사이트로 전송
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
yon[생략]24.co.kr
acc[생략]ible.cl
hote[생략]lba.com
am[생략]ady.com
inca.dnet[생략]tion.net
www.a[생략]ura.com
avat[생략]ratis.com
best4testcom.37.c[생략]1.ru
beyoglu.[생략]m.tr
bran[생략]hock.com
www.bu생략]tal.co.kr
camaramafra.sc.g[생략]v.br
camposequipamentos.c[생략]m.br
cbradio.s[생략]s.pl
cie[생략]sp.com
www3.cjr[생략]dio.com
c-d-c.c[생략]m.au
www.k[생략]pl.com
coparefrescos.stanton[생략]oup.com
crea[생략]spire.com
ct[생략]yle.com
▶ 상세
o 감염 후 악성코드는 DNS 서버에 www.google.com에 대한 TCP 쿼리를
발생시킨다.
※ 일반적으로 DNS 쿼리는 UDP Protocol을 이용함
o 특정 사이트로부터 email.php 파일을 다운로드 받아 “윈도우 폴더“에
”elist.xpt“ 이름으로 저장한다.
email.php파일을 다운로드 받기 위하여 접속하는 사이트는 다음과 같다
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
desenjoi.c[생략]m.br
www.in[생략]file.gr
www.d[생략]m.cl
www.discoteca[생략]zle.com
접속사이트는 악성코드에 아래와 같이 하드코딩되어 있다.
<감염 후 email.php 다운로드 시도 예>
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
o elist.xpt 파일 내에 저장되어 있는 메일주소로 스팸메일을 발송한다. 메일유
형은 수신자와 발신자가 동일하며, 제목 및 내용에 숫자가 표시된다.
비정상 메일 발송을 처리하는 루틴은 다음과 같다. "메일의 제목 및 내용"
은 악성코드 내부에 하드코딩 되어 있다.
<메일 발송 루틴 예>
<하드코딩 되어 있는 메일의 제목 및 내용>
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
실제 감염을 시켜 발송되는 메일유형을 확인한 결과는 다음과 같다.
※ 참고:
악성코드는 공격 대상 메일 중 아래 문자열이 포함되어 있는지 여부를 확인하
여 공격 대상에서 제외시킨다.
“@.” , “.@” , “..” , “rating@” , “f-secur” , “news” , “update” , “anyone@”
“bugs@” , “contract@” , “feste@” , “gold-certs@” , “help@” , “info@”
“nobody@” , “noone@” , “ksap” , “admin” , “icrosoft” , “support” , “ntivi”
“unix” , “bsd” , “linux” , “listserv” , “certific” “sopho” , “@foo” , “@iana”
“free-av” , “@messagelab” , “winzip” , “google” , “winrar” , “samples”
“abuse” , “panda” , “cafee” , “spam” , “pgp” , “@avp” , “noreply”
“local” , “root@” , “postmaster@”
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
<메일 주소에 특정 문자열이 있는지 여부를 확인하기 위한 루틴>
o PC 내에 저장되어 있는 특정 확장명을 가지는 파일들로부터 메일주소를 추출
한다.
- 확장명이 wab, txt, msg, htm, shtm, stm, xml, dbx , mbx , mdx, eml,
nch, mmf, ods, cfg, asp, php pl, wsh, adb, tbb, sht, xls, oftm uln, cgi,
mht, dhtm , jsp를 검색하여 해당 파일로 부터 메일주소를 추출.
<특정 확장명을 가지는 파일 검색 루틴>
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 9 -
o 추출된 메일주소는 특정 사이트로 전송하는 것으로 추정된다. 감염 테스트에서
는 전송이 확인되지 않았지만, 악성코드 내에서 아래와 같은 전송 루틴이 관찰
되었다.
- 접속 사이트: http://rodolfom[생략]ejia.com/img/out1.php
o 악성코드가 메모리에 로드 된 후 실행된 원본 파일은 삭제된다.
- 악성코드는 자신이 실행된 위치에 아래와 같은 내용으로 a.bat를 생성 후 실
행하여 자신의 원본 파일을 삭제한다.
※ 악성코드에 의해서 생성된 위의 배치파일은 다음과 같은 명령으로 실행되어 악성코드의
원본파일을 삭제함
a.bat "악성코드 파일이 저장되어 있는 경로“
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 10 -
□ 피해 현황 및 위험 요소 (☞2006.6.12 현재)
o 국내 일부 기관에서 666.jpg 및 변종 악성코드가 발송하는 메일이 다수 수
신되었다. 따라서, 이 악성코드는 전파력이 있는 Dropper 유형의 웜에 의
해서, 어느 정도 확산이 되었던 것으로 추정된다.
o 감염될 경우 PC 내에 저장되어 있는 메일주소 정보가 공격자에게 유출 될
수 있으며, 해당 주소로 비정상적인 스팸 성 메일이 발송될 수 있다.
o 현재 메일 리스트를 다운로드 받는 것이 불가능하여 감염될 경우 대량으로
메일이 발송되지 않는다. 그러나, 해당 사이트가 공격자에 의해서 다시 이
용될 가능성이 있으며, URL이 변경된 변종 출현이 예상되어 주의할 필요
가 있다.
□ 사전 피해 예방 방법
o 666.jpg는 자체 전파력이 없지만, 다른 악성코드 감염 후 2차로 설치되는
감염 유형으로 추정되므로, 사용자는 감염 경로로 악용될 수 있는 취약요
소들을 최소화한다. OS 및 웹 브라우져 패치, 메일 첨부 실행 시 주의,
백신 최신 업데이트 및 실시간 감시 기능 활성화등을 통하여 감염 피해를
사전 예방하도록 한다.
o 다수의 사용자가 등록되어 있는 메일링 리스트 정보가 악성코드에 노출될
경우 단시간 내에 많은 사용자에게 스팸성 메일이 발송될 수 있다.
따라서, 다수의 메일링 리스트를 관리 할 경우 악성코드 감염에 주의하도
록 한다.
□ 감염 시 조치 방법
o 이 악성코드는 메모리에만 로딩되어 활동하는 악성코드이다. 재 부팅하면
악성코드는 제거된다. 그러나, 감염된 PC에는 이 악성코드를 설치한
KrCERT-AR-2006-061 http://www.krcert.or.kr
Spam 악성코드 (666.jpg) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 11 -
Dropper 유형의 웜이 함께 설치되었을 가능성이 매우 크며, 이러한 경우는
Dropper 웜에 의해서 재 부팅시에도 다시 설치 및 실행될 가능성이 있다.
이 666.jpg 악성코드를 설치한 Dropper 웜은 여러 종류가 있을 수 있으므
로, 사용자는 백신을 설치 및 최신으로 업데이트하여 전체 폴더를 점검하
도록 한다.